Программный блейд
IPSEC VPN
Обзор
Программный блейд Check Point VPN обеспечивает безопасное соединение к корпоративным сетям, региональным отделениям, удаленным и мобильным пользователям, бизнес-партнерам. Программное решение интегрирует функции контроля доступа, аутентификации и шифрования и гарантирует безопасность сетевых соединений через публичные сети Интернет.
Ключевые преимущества
- Простое централизованное управление удаленным доступом и соединениями VPN
- Усиленная защита IPsec VPN
- Несколько режимов удаленного доступа к VPN для лучшей поддержки мобильных пользователей с подключением из любого места и через любые сети
Свойства
- Упрощенная организация VPN-каналов связи между сетями
- Методы создания VPN-сетей
- Повышенный уровень защиты IPsec VPN
- Поддержка различных технологий удаленного доступа
- Несколько режимов подключения удаленных пользователей
Упрощенная организация VPN-каналов связи между сетями
Программный блейд IPsec использует унифицированный метод создания сложных VPN-сетей и управления ими. Состав элементов крупных VPN-сетей — включая VPN-шлюзы других производителей — задается администраторами с помощью панели управления SmartDashboad. Соединение VPN-шлюзов в топологию «звезда» или многосвязную сеть выполняется в считанные минуты через встроенный центр выдачи сертификатов.
Маршрутный: на основе правил маршрутизации. Доменный: на основе доменов шифрования.
Повышенный уровень защиты IPsec VPN
Ключевой элемент философии построения VPN-сетей Check Point — обеспечение высокого уровня безопасности. Программный блейд IPsec позволяет подключать внешних пользователей, удаленные объекты и сети партнеров без риска превращения VPN-сети в брешь в системе защиты. По усмотрению администратора блейд IPsec может применять к шифрованному трафику VPN или какой-либо его части все правила политики безопасности либо пропускать его без такой обработки.
Кроме того, программный блейд IPsec обеспечивает надежную защиту VPN-сети от атак типа отказ в обслуживании (DoS) — например, направленных на механизм передачи ключей криптозащиты Internet Key Exchange (IKE). В IPsec реализовано уникальное решение защиты от IKE DoS: инициатору запроса на подключение через неизвестный шлюз предлагается решить вычислительно сложную задачу; выделение каких-либо ресурсов начинается только после получения правильного ответа.
Поддержка различных технологий удаленного доступа
Каждое предприятие или компания предъявляет свои требования к удаленному доступу. Необходимая гибкость в программном блейде IPsec обеспечивается широким выбором различного клиентского ПО для удаленного доступа:
- Check Point Endpoint Security — первый и единственный единый клиент, содержащий все необходимые компоненты для комплексной защиты конечных точек сети: организацию удаленного доступа с помощью VPN, лидирующий в отрасли межсетевой экран, средства контроля доступа к сети (NAC, Network Access Control), программный контроль, защиту от вирусов и вредоносного ПО, а также защиту данных.
- Endpoint Connect VPN Client — это легкий клиент IPSec VPN, входящий в состав шлюзов Connectra и VPN-1 для организации удаленного доступа.
- SecuRemote — это базовый VPN-клиент, который обеспечивает соединения IPsec VPN для удаленных пользователей.
- SecureClient — это расширенный VPN-клиент, который обеспечивает соединения IPsec VPN для удаленных пользователей.
- SecureClient Mobile содержит функционал межсетевого экрана и обеспечивает безопасный бесперебойный удаленный доступ для мобильных устройств.
- L2TP for iPhone обеспечивает поддержку в iPhone встроенного L2TP VPN-клиента.
Несколько режимов подключения удаленных пользователей
В программном блейде IPsec предусматривается несколько режимов, в зависимости от соединений и решений о маршрутизации.
При "офисном режиме" (Office Mode) в маршрутизации между клиентом и шлюзом безопасности применяется инкапсуляция IP-пакетов с IP-адресом удаленного пользователя, таким образом, пользователи работают как бы "из офиса", хотя подключены удаленно. Офисный режим также обеспечивает защиту от спуфинга благодаря тому, что шлюз получает IP-адрес, аутентифицирует и назначает пользователю.
"Режим посетителя" (Visitor Mode) позволяет сотрудникам компании при удаленной работе получить доступ к ресурсам, например, из офиса заказчика, когда интернет-соединение ограничено Web-просмотром с использованием стандартных протоколов HTTP и HTTPS.
"Режим концентратора" (Hub Mode) предусматривает тщательный, централизованный просмотр всего трафика. При этом нет необходимости в применении функций безопасности к нескольким офисам, сотрудники могут использовать безопасные соединения клиент-клиент, например, технологию Voice over IP (VoIP) или интернет-конференции с Microsoft NetMeeting.
Спецификации
| Свойства | Описание |
|---|---|
| Методы проверки подлинности | Password, RADIUS, TACACS, X.509, SecurID |
| Источник сертификатов | Встроенный удостоверяющий центр (X.509) |
| Сообщества VPN | Соединения между узлами настраиваются автоматически по мере создания объектов |
| Поддерживаемые топологии | Звезда и многосвязная сеть |
| Сеть VPN на основе маршрутов | Используются интерфейсы виртуальных туннелей; нумерованные/ненумерованные интерфейсы |
| Гибкость доступа к VPN | Множественные точки входа (Multiple Entry Point, MEP), доступ по проводным сетям (Wire Mode) |
| VPN route injection | Route Injection Mechanism (RIM) |
| Режимы организации соединений VPN | На основе доменов, на основе маршрутов |
| Направление VPN-трафика | Направление VPN-трафика в сообществе VPN или между сообществами |
| Обмен ключами в интернет (IKE), Фаза 1 | AES-256, 3DES, DES, CAST |
| IKE, Интеграция данных | MD5, SHA1 |
| IPsec (Фаза 2), Шифрование данных | 3DES, AES-128, AES-256, DES, CAST, DES-40CP, CAST-40, NULL |
| IPsec (Фаза 2), Интеграция данных | MD5, SHA1 |
| IKE (Фаза 1) и IPsec (Фаза 2) Группы Diffie-Hellman | Группа 1 (768 бит), Группа 2 (1024 бит), Группа 5 (1536 бит), Группа 14 (2048 бит) |
| IKE (Фаза 1) Опции | Aggressive Mode |
| IPsec (Фаза 2) Опции | Perfect Forward Secrecy, IP Compression |
| Поддержка мобильных устройств | L2TP support for iPhone, SecureClient Mobile for Windows Mobile |
| Несколько клиентов IPsec VPN | Check Point Endpoint Security, SecureClient, SecuRemote |
Поддержка
Служба Check Point Services позволяет держаться на шаг впереди постоянно эволюционирующих угроз безопасности. Для сохранения высокой производительности и непрерывности ведения Вашего бизнеса компания Check Point предлагает обновления безопасности, критические обновления, сервис-паки, а также новые версии ПО.
Преимущества
- Неизменно высокий уровень защиты благодаря доступу к критическим обновлениям и сервис-пакам
- Максимизация окупаемости инвестиций благодаря новым версиям и обновлениям ПО
- Повышение уровня защиты благодаря применению современных приложений, функциональным характеристикам и используемым технологиям
С чего начать
Ресурсы
Программные блейды
Программные блейды для шлюзов безопасности